Literasi Digital

Situs e-commerce China, LightInTheBox.com Bocorkan Data Pengguna

Peneliti Infosec telah menemukan pelanggaran data yang memengaruhi 1,3TB entri log server web yang dipegang oleh situs web e-commerce China, LightInTheBox.com.

Data tersebut tidak aman dan tidak dienkripsi dan dapat diakses dari browser web biasa dan ditahan pada basis data Elasticsearch yang biasanya tidak dirancang untuk penggunaan URL.

Kedua peneliti yang menemukan kebicoran ini, Noam Rotem dan Ran Locarasis mengatakan bahwa data yang ditemukan adalah log server web, riwayat permintaan halaman dan aktivitas pengguna di situs yang berasal dari 9 Agustus 2019 hingga 11 Oktober. Data ini mengandung sekitar 1,5 miliar entri.

Log server termasuk alamat email pengguna, alamat IP, negara tempat tinggal dan halaman yang dilihat setiap pengunjung di situs web LightInTheBox. Data tersebut juga berisi data dari situs anak perusahaan perusahaan termasuk MiniInTheBox.com.

LightInTheBox adalah pengecer online yang menjual barang-barang eceran seperti gadget, pakaian, dan aksesori kecil. Situs ini memiliki sedikit petunjuk tentang asal-usul China-nya selain tautan sponsor di bagian bawah berandanya dengan tema khas China. Cuplikan kode yang dibagikan dengan Register menunjukkan dengan tepat bagaimana alamat email pengguna diekspos.

Selain dari LightInTheBox.com, basis data yang dilanggar juga berisi data dari situs anak perusahaan, termasuk MiniInTheBox.com. LightInTheBox sendiri dikatakan memiliki sekitar 12 juta pengunjung setiap bulan ke situsnya.

Dengan akses ke alamat email pengguna dan riwayat penjelajahan yang tepat, klompok jahat dapat dengan mudah membuat email phising yang ditargetkan dengan berpura-pura menjadi, misalnya, pesan lanjutan dari LightInTheBox sendiri yang menawarkan diskon pada produk yang sebelumnya dilihat.

Sumber: The Register

Similar Posts